RFC2616: Ho davvero bisogno di WWW_Authenticate insieme al ritorno 401?
-
25-09-2019 - |
Domanda
RFC2616 se torno 401 in risposta a una richiesta al mio server (Ruby), I "deve includere un campo di intestazione WWW-Authenticate." Ma è davvero così? Non impostare l'intestazione sembra avere alcun impatto negativo. Sto utilizzando Merb come un framework web e non mi costringe a impostare l'intestazione.
Mi sto perdendo qualcosa o si tratta di una regola più onorata sulla breccia?
quadri deve Web costringono allo sviluppatore di impostare l'intestazione al ritorno 401?
Soluzione
Il problema è se ci si aspetta che gli utenti siano in grado di navigare dal 401 mancata un'autenticazione corretta andando avanti. Se si riesce a fornire un'intestazione WWW-Authenticate, allora si sta modificando il significato del 401 da 'È necessario fornire le credenziali' a 'non ci piace il vostro genere da queste parti'. Questo potrebbe andare bene per i vostri scopi, ma la maleducazione insito nel concetto di rifiutare le credenziali senza offrire un modo per risolvere il problema è la radice dietro il 'must'.
Altri suggerimenti
Si invia 401 se si desidera che il client di autenticazione, nel qual caso è necessario indicare come.
Così che cosa voler il cliente a fare? Se è solo un "non si può fare questo" messaggio, in considerazione 403.